Key Client Briefing: Einsatz künstlicher Intelligenz bei internen Untersuchungen

Interne Untersuchungen sind ein essenzielles Instrument, um potenzielles Fehlverhalten in Unternehmen aufzudecken, Schäden abzuwenden und notwendige Maßnahmen einzuleiten. Mit der zunehmenden Digitalisierung und der exponentiellen Zunahme von Datenmengen sind digitale E-Discovery Tools mittlerweile ein fester Bestandteil jeder internen Ermittlung. Anbieter solcher Tools versprechen mit Hilfe künstlicher Intelligenz („KI“) nicht nur Effizienzgewinne, sondern auch tiefere Einblicke und präzisere Ergebnisse. Gleichzeitig bringt der Einsatz von KI bei internen Ermittlungen neue Herausforderungen und rechtliche Fragestellungen unter der europäischen Verordnung 2024/1689 vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz („KI-VO“) mit sich. Die KI-VO adressiert neben den Entwicklern von KI-Systemen auch deren Nutzer. Unternehmen, die KI-basierte E-Discovery-Tools einsetzen, unterliegen damit den Vorgaben der KI-VO und den hohen Bußgeldrisiken von bis zu 35 Millionen Euro oder 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Seit dem 1. August 2024 ist die KI-VO in Kraft und bereits seit Februar dieses Jahres sind die allgemeinen Schulungspflichten aus Art. 4 KI-VO und die Vorschriften zu verbotenen KI-Praktiken nach Art. 5 KI-VO anwendbar. Ab dem 2. August 2026 gelten auch die spezifischen Pflichten für Hochrisiko-KI-Systeme, die auch bei internen Ermittlungen eine große Rolle spielen. Das macht die Einhaltung der regulatorischen Anforderungen für alle Beteiligten zu einem zentralen Thema.

Vorteile des KI-Einsatzes bei internen Untersuchungen

Die KI-VO zielt darauf ab, die Nutzung und Entwicklung von KI in den EU-Mitgliedstaaten umfassend zu regeln. Sie schafft einen harmonisierten Rechtsrahmen für KI und soll sicherstellen, dass KI-Technologie auch bei internen Ermittlungen von den beteiligten Akteuren auf sichere Weise und im Einklang mit den Werten der EU, einschließlich der Achtung von Grundrechten, Rechtsstaat und Demokratie, entwickelt und genutzt wird. Bereits heute optimiert KI zahlreiche Prozesse interner Ermittlungen:

1. Effizienzsteigerung und Fehlerreduktion

KI kann große Datenmengen in kürzester Zeit analysieren und kategorisieren. Dies minimiert menschliche Fehler, die durch Übermüdung oder Unaufmerksamkeit entstehen können. Zudem ermöglicht KI eine sprach-, format- und quellenunabhängige Auswertung, was den Aufwand für Übersetzungen oder Formatangleichungen erheblich reduziert.

Beispiel: Ein KI-gestütztes E-Discovery-Tool kann innerhalb weniger Stunden Millionen von E-Mails und Dokumenten durchsuchen, irrelevante Inhalte aussortieren und relevante Datensätze für die weitere Analyse bereitstellen. Anbieter bieten solche Funktionen an, die speziell für große Datenmengen optimiert sind.

2. Erkennung von Mustern und Anomalien

KI-Algorithmen können verborgene Muster, Trends und Anomalien in Daten identifizieren, die auf Compliance-Verstöße hinweisen könnten. Dies umfasst auch die Analyse von Kommunikationsdaten, um Verbindungen zwischen Personen und Vorgängen aufzudecken.

Beispiel: Ein KI-System könnte auffällige Kommunikationsmuster in E-Mails erkennen, z. B. ungewöhnlich häufige Interaktionen zwischen bestimmten Mitarbeitenden kurz vor einem Vertragsabschluss. Anbieter integrieren solche Mustererkennungsfunktionen in ihre Plattformen.

3. Unterstützung bei Interviews und Berichterstellung

KI kann bei der Vorbereitung von Interviews helfen, indem sie relevante Fragen basierend auf den analysierten Daten vorschlägt. Während der Interviews kann sie Protokolle erstellen und Inkonsistenzen in Aussagen erkennen. Abschließend kann KI bei der Erstellung von Berichten unterstützen, indem sie relevante Informationen zusammenführt und strukturiert.

Beispiel: Ein System kann automatisch Berichte generieren, die die wichtigsten Erkenntnisse aus den analysierten Daten zusammenfassen, und dabei auch visuelle Darstellungen wie Diagramme oder Netzwerkanalysen einfügen.

4. Hintergrundrecherchen

KI erleichtert die Recherche in öffentlich zugänglichen Quellen, wie Presseartikeln oder Datenbanken, und trägt so zu einer präziseren Sachverhaltsaufklärung bei.

Beispiel: Tools bieten Funktionen, um öffentlich zugängliche Datenquellen zu durchsuchen und relevante Informationen in die interne Untersuchung zu integrieren.

Regulierung unter der KI-Verordnung

Unternehmen, die KI-gestützte Tools im Rahmen interner Ermittlungen einsetzen, beziehen die Systeme häufig als standardisierte Lösungen von spezialisierten Anbietern. In diesen Fällen übernehmen die Unternehmen in aller Regel nicht die Rolle des Anbieters des KI-Systems, da sie es nicht selbst entwickelt haben (Art. 3 Nr. 8 KI-VO). Stattdessen nehmen sie regelmäßig die Rolle des Betreibers ein, weil sie die fremdbezogenen Systeme in eigener Verantwortung für betriebliche Zwecke einsetzen (Art. 3 Nr. 4 KI-VO).

1. Betreiberpflichten

Unternehmen sind als Betreiber eines KI-Systems verpflichtet, ihre spezifischen Vorgaben der KI-VO zu erfüllen, die sich an der Risikoklassifizierung des eingesetzten KI-Systems orientieren. Der Einsatz bestimmter KI-Praktiken wird in Art. 5 KI-VO gänzlich untersagt. Betreiber, die KI-Systeme mit geringem Risiko einsetzen, unterliegen vor allem allgemeinen Schulungspflichten. Besonders strengen Vorgaben unterliegen Betreiber von Hochrisiko-KI-Systemen. Nach Art. 26 KI-VO obliegt es dem Betreiber eines hochriskanten Systems insbesondere, sicherzustellen, dass das KI-System bestimmungsgemäß verwendet wird, d.h., ausschließlich für den vom Anbieter festgelegten Zweck. Dies umfasst die strikte Einhaltung der vom Anbieter bereitgestellten Anleitungen sowie die kontinuierliche Überwachung des Betriebs, um die Sicherheit und Regelkonformität des Systems zu gewährleisten.

2. Bußgeldrisiko

Die Missachtung der strengen Betreiberpflichten für Hochrisiko-KI-Systeme kann schwerwiegende Konsequenzen nach sich ziehen. Gemäß Art. 99 Abs. 4 lit. e KI-VO drohen Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes eines Unternehmens. Verstöße gegen die in Art. 5 KI-VO geregelten Verbote bestimmter KI-Praktiken können sogar mit Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden, Art. 99 Abs. 3 KI-VO. Dieses erhebliche Sanktionsrisiko verdeutlicht die Notwendigkeit, dass Unternehmen ihre Rolle als Betreiber eines KI-Systems mit höchster Sorgfalt wahrnehmen und die regulatorischen Anforderungen konsequent umsetzen.

3. Verbotene KI-Praktiken (Art. 5 KI-VO)

Die KI-VO verbietet den Einsatz von KI-Systemen, die manipulative oder ausbeuterische Praktiken anwenden, um das Verhalten von Personen erheblich zu beeinflussen, Art. 5 Abs. 1 lit. a KI-VO. Im Kontext interner Ermittlungen könnte dies z. B. den Einsatz von KI-Systemen umfassen, die gezielt das Aussageverhalten von Mitarbeitenden manipulieren. Auch die Analyse des menschlichen Aussageverhaltens in Interviews anhand von Emotionserkennung mithilfe einer KI ist unter der KI-VO verboten, Art. 5 Abs. 1 lit. f KI-VO.

4. E-Discovery-Tools selten hochriskant i.S.d. KI-VO

Betreiber von Hochrisiko-KI-Systemen unterliegen unter der KI-VO besonders strengen Pflichtvorgaben. Der Einsatz von KI-Systemen im Rahmen interner Untersuchungen wirft folglich die Frage auf, ob solche Systeme stets als Hochrisiko-KI gemäß der KI-VO einzustufen sind.

(a) Hochriskante KI bei Entscheidungen, die das Arbeitsverhältnis beeinflussen

Gemäß Art. 6 Abs. 2 i.V.m. Anhang III Nr. 4 lit. b KI-VO betrifft die Hochrisiko-Klassifizierung von KI-Systemen bei internen Ermittlungen insbesondere Anwendungen, die für Entscheidungen verwendet werden, welche die Bedingungen von Arbeitsverhältnissen beeinflussen, wie Beförderungen, Kündigungen oder die Bewertung von Leistungen und Verhalten.

Ein Tool, das die Leistung von Mitarbeitenden anhand von E-Mails, Kalendereinträgen und anderen digitalen Spuren bewertet und diese Bewertungen automatisch an die Personalabteilung weiterleitet, um über Beförderungen oder Kündigungen zu entscheiden, fällt demnach unter die Hochrisiko-Klassifizierung. In solchen Fällen beeinflusst das KI-System direkt und bestimmungsgemäß Entscheidungen, die für die betroffenen Mitarbeitenden existenziell sind. Dies rechtfertigt die Einstufung als Hochrisiko-KI, da hier erhebliche Risiken für die Grundrechte der Betroffenen bestehen.

(b) Keine Personalentscheidung als Ziel

Allerdings dürften E-Discovery-Tools häufig nicht als Hochrisiko-KI-Systeme im Sinne von Art. 6 Abs. 2 i.V.m. Anhang III Nr. 4 lit. b KI-VO einzustufen sein. Vieles spricht dafür, dass sich ihre Funktion und Zielrichtung grundlegend von den in Anhang III Nr. 4 KI-VO genannten Anwendungsfällen unterscheiden. Während dort die Bewertung individueller Merkmale und Eigenschaften von Mitarbeitenden im Mittelpunkt steht, zielen E-Discovery-Tools auf der sachverhaltsbezogenen Analyse von Daten ab, um potenziell rechtswidriges Verhalten aufzudecken.

Entscheidend für die Einstufung ist die Zweckbestimmung des Systems. Diese ist gemäß Art. 3 Nr. 12 KI-VO maßgeblich für die Qualifizierung eines KI-Systems und wird vom jeweiligen Anbieter festgelegt. Anbieter von E-Discovery-Tools beschreiben ihrer Systeme typischerweise so, dass sie der Analyse, Strukturierung und Kategorisierung von Daten dienen – nicht aber dazu, Personalentscheidungen zu unterstützen oder herbeizuführen.

In einer kartellrechtlichen Untersuchung kann ein E-Discovery-Tool beispielsweise eingesetzt werden, um E-Mails nach Begriffen wie „Preis“, „gemeinsam“ oder „festsetzen“ zu durchsuchen und so Hinweise auf illegale Absprachen zu identifizieren. Im Vordergrund steht dabei die objektive Aufklärung eines Sachverhalts – nicht die Bewertung individueller Eigenschaften oder Merkmale von Mitarbeitenden.

Selbst wenn die Ergebnisse einer internen Untersuchung arbeitsrechtliche Konsequenzen nach sich ziehen können, ist die Verbindung zwischen dem KI-System und der Personalentscheidung nur mittelbar. Die Verantwortung für arbeitsrechtliche Maßnahmen liegt stets bei der Geschäftsleitung, die normative und rechtliche Bewertungen vornimmt.

(c) Keine Hochrisiko-KI bei begrenztem Einfluss auf menschliche Entscheidung

Art. 6 Abs. 3 KI-VO sieht zusätzliche Ausnahmen von der Hochrisiko-Klassifizierung eines E-Discovery-Tools vor, wenn das KI-System ausschließlich vorbereitende Aufgaben übernimmt oder Abweichungen in Entscheidungsmustern aufzeigt, die anschließend einer menschlichen Kontrolle unterzogen werden. Die Regelung zielt darauf ab, Systeme vom Pflichtenprogramm für Hochrisiko-KI-Systeme auszunehmen, die lediglich unterstützende oder vorbereitende Aufgaben übernehmen und keine eigenständigen inhaltlichen Bewertungen vornehmen, weil ihr Einsatz dann nur geringe Risiken birgt.

Diese Ausnahme ist daher besonders relevant für E-Discovery-Tools, deren Zweck auf die Unterstützung von Untersuchungen beschränkt ist, ohne dass sie selbst normative oder rechtliche Bewertungen vornehmen. Sie tragen dazu bei, die Effizienz zu steigern, ohne die Entscheidungsautonomie des Menschen zu beeinträchtigen.

Typische Anwendungsbeispiele für E-Discovery-Tools, die unter Art. 6 Abs.  3 KI-VO fallen, sind etwa Datenfilterungen anhand vordefinierter Kriterien, wie zum Beispiel mithilfe von Search-Term-Listen. Auch Tools, die Kommunikationsmuster nach bestimmten Parametern erkennen und markieren – etwa ungewöhnlich häufige Kontakte zwischen bestimmten Mitarbeitenden – gehören dazu. Ebenso erfasst sind Anwendungen, die Daten aus verschiedenen Quellen zusammenführen und strukturieren, um sie für menschliche Prüfer übersichtlicher und leichter auswertbar zu machen, ohne dabei eigene Bewertungen oder Schlussfolgerungen vorzunehmen.

5. Schulungspflichten beim Einsatz von KI bei internen Ermittlungen

Auch wenn E-Discovery-Tools häufig außerhalb des Anwendungsbereichs der Hochrisiko-KI-Systeme eingesetzt werden, unterliegen Nutzer insbesondere Schulungspflichten.

Art. 4 KI-VO verpflichtet Betreiber von KI-Systemen Maßnahmen zu ergreifen, um sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen. Ziel der KI-Kompetenz sind Fähigkeiten im Umgang mit KI, Kenntnisse über die Technologie und Verständnis für den jeweiligen Anwendungsfall. Bevor KI-Systeme bei internen Ermittlungen eingesetzt werden, müssen die befassten Mitarbeiter/Nutzer also umfassend geschult werden.

6. Datenschutz und Arbeitsrecht

Darüber hinaus sind bei der Nutzung von KI in internen Untersuchungen arbeitsrechtliche und datenschutzrechtliche Aspekte von zentraler Bedeutung. So können Mitbestimmungsrechte des Betriebsrats nach §§ 87 Abs. 1 Nr. 1, Nr. 6, 94 und 80 Abs. 2 BetrVG eine Rolle spielen, insbesondere vor dem Hintergrund einer Nutzung technischer Einrichtung zur Verhaltenskontrolle. Datenschutzrechtlich ist insbesondere sicherzustellen, dass die Verarbeitung personenbezogener Daten im Rahmen von eDiscovery-Maßnahmen den Anforderungen des § 26 Abs. 1 S. 1 BDSG bzw. Art. 6 Abs. 1 lit. f DSGVO sowie gegebenenfalls Art. 9 DS-GVO entspricht und die Informationspflichten aus den Art. 12 ff. DSGVO eingehalten werden.

7. Ausblick und Handlungsempfehlungen

Die kontinuierliche Weiterentwicklung von KI-Systemen führt dazu, dass auch die Technologien, die in internen Ermittlungen eingesetzt werden, zunehmend leistungsfähiger und zugleich eingriffsintensiver werden. KI-Systeme werden zunehmend in der Lage sein, komplexere Analysen durchzuführen und tiefere Einblicke in Daten zu gewinnen. Für Betreiber solcher Systeme bedeutet dies jedoch auch, dass der Begründungsaufwand steigt, um darzulegen, weshalb ein konkretes KI-System nicht als Hochrisiko-KI einzustufen ist und somit nicht den strengen Betreiberpflichten nach Art. 26 KI-VO unterliegt.

Betreibern ist daher dringend zu empfehlen, ihre eingesetzten KI-Systeme frühzeitig zu klassifizieren, kontinuierlich zu überwachen und ihre Personal zu schulen. Dies umfasst sowohl die Prüfung der Zweckbestimmung des Systems als auch die regelmäßige Evaluierung der tatsächlichen Nutzung und der potenziellen Risiken. Um diesen Anforderungen gerecht zu werden, sollten Unternehmen zeitnah folgende Maßnahmen ergreifen:

• Bestandsaufnahme: Identifizieren, ob im Unternehmen KI-Systeme eingesetzt und diese als hochriskant eingestuft werden könnten.
• Compliance sicherstellen: Eine für das Unternehmen passende AI-Governance entwickeln.
• Schulungen durchführen: Sicherstellen, dass Mitarbeitende über die notwendige KI-Kompetenz verfügen.
• Zusammenarbeit fördern: Falls notwendig – frühzeitig Betriebsräte, Datenschutzbeauftragte und Fachabteilungen einbinden.

Fazit

Die Integration von KI in interne Untersuchungen bietet erhebliche Chancen, insbesondere in Bezug auf Effizienz, Genauigkeit und Kostenreduktion. Gleichzeitig erfordert ihr Einsatz ein tiefes Verständnis der technologischen Möglichkeiten und Grenzen sowie der rechtlichen Rahmenbedingungen, insbesondere der KI-VO. Die erfolgreiche Integration von KI in interne Untersuchungen erfordert zusätzlich ein umfassendes Verständnis der arbeitsrechtlichen und datenschutzrechtlichen Rahmenbedingungen. Mit der zunehmenden Bedeutung von KI wird sich daher auch der Umfang von KI-Governance und Compliance-Maßnahmen weiterentwickeln müssen. Unternehmen sollten unverzüglich mit der Umsetzung der KI-VO beginnen, da die allgemeinen Schulungspflichten aus Art. 4 KI-VO und die Regelungen zu verbotenen KI-Praktiken in Art. 5 KI-VO bereits jetzt gelten.

Zurück zur Übersicht